先普及什麼是防火牆：

防火牆分類：

第一種：軟體防火牆

軟體防火牆運行於特定的計算機上，它需要客戶預先安裝好的計算機作業系統的支援，一般來說這臺計算機就是整個網路的閘道器。軟體防火牆就象其它的軟體產品一樣需要先在計算機上安裝並做好配置才可以使用。

第二種：晶片級防火牆它們基於專門的硬體平臺，沒有作業系統。專有的ASIC晶片促使它們比其他種類的防火牆速度更快，處理能力更強，效能更高。這類防火牆由於是專用OS，因此防火牆本身的漏洞比較少，不過價格相對高出很多，不接觸這類產品不知道價格很是“可觀”所以一般只有在“確實需要”的情況下才考慮。

防火牆工作原理：

防火牆有硬體和軟體防火牆兩類，硬體防火牆允許您透過埠的傳輸控制協議（TCP）或使用者資料報協議（UDP）來定義阻塞規則，例如禁止不必要的埠(3389)和IP地址的訪問。軟體防火牆就像互連內部網路和外部網路的代理伺服器，它可以讓內部網路不直接與外部網路進行通訊，但是很多企業和資料中心會將這兩種型別的防火牆進行組合，主要是因為這樣做可以更加有效地提升網路的安全性。

優缺點：

1、防火牆可以阻斷攻擊，但不能消滅攻擊源。

網際網路上病毒、木馬、惡意試探...造成的攻擊行為層出不群，花樣繁多。設定得當的防火牆能夠阻擋他們，但是無法清除攻擊源。即使防火牆進行了良好的設定，使得攻擊無法穿透防火牆，但各種攻擊仍然會源源不斷地向防火牆發出嘗試。

2、防火牆不能抵抗最新的未設定策略的攻擊漏洞

就如防毒軟體與病毒一樣，總是先出現病毒，防毒軟體經過分析出特徵碼後加入到病毒庫內才能查殺。防火牆的各種策略，也是在該攻擊方式經過專家分析後給出其特徵進而設定的。這也是說防火牆需要時時更新，以便有新病毒的出現及時阻止。

3、防火牆的併發連線數限制容易導致擁塞或者溢位

由於要判斷、處理流經防火牆的每一個包，因此防火牆在某些流量大、併發請求多的情況下，很容易導致擁塞，成為整個網路的瓶頸影響效能。而當防火牆溢位的時候，整個防線就如同虛設，原本被禁止的連線也能從容通過了。

4、防火牆對伺服器合法開放的埠的攻擊大多無法阻止

某些情況下，攻擊者利用伺服器提供的服務進行缺陷攻擊。例如利用開放了3389埠取得沒打過sp補丁的win2k的超級許可權、利用asp程式進行指令碼攻擊等。由於其行為在防火牆一級看來是“合理”和“合法”的，因此就被簡單地放行了。

5、防火牆對待內部主動發起連線的攻擊一般無法阻止

“外緊內松”是一般區域網絡的特點。也許一道嚴密防守的防火牆內部的網路是一片混亂也有可能。透過社會工程學傳送帶木馬的郵件、帶木馬的網址連線地址等方式，然後由中木馬的機器主動對攻擊者連線，將鐵壁一樣的防火牆瞬間破壞掉。

6、防火牆本身也會出現問題和受到攻擊

防火牆也是一個os，也有著其硬體系統和軟體，因此依然有著漏洞和bug。所以其本身也可能受到攻擊和出現軟/硬體方面的故障。

7、防火牆不處理病毒

不管是funlove病毒也好，還是CIH也好。在內部網路使用者下載網路的帶毒檔案的時候，防火牆是不為所動的（這裡的防火牆不是指單機/企業級的防毒軟體中的實時監控功能，雖然它們不少都叫“病毒防火牆”）。

防火牆是網路安全的重要一環，但不代表設定了防火牆就能一定保證網路的安全。安全是一種意識，即使技術很強大，硬體足夠NB，但有人的地方就會出現漏洞，請謹記！

在這個資料化的時代，資料的重要性不言而喻，毫無疑問資料就是企業的命。資料的安全性直接影響著一個企業業務的成長髮展，所以每個做著和資料相關行業的人都對“計算機安全”不陌生。

說到計算機安全，就會無法避免討論到隔離。隔離計算機最簡單的方式就是安裝防火牆，這樣能有效保護伺服器以防受到直接攻擊。像每個Windows版本都自帶基礎且能夠提供使用者使用的防火牆產品，這種防火牆能夠鎖定所有不需要訪問的目標內容。但是Windows自帶的防火牆並沒有對通訊本身提供保護。所以為了實現更高安全級別的保護，我們需要安裝其他防火牆。但在安裝其它防火牆之前，我們必須先要關閉掉系統自帶的防火牆，以避免多個防火牆系統發生相互衝突。

安裝防火牆的目的主要是為了防止來自外部的攻擊，因為隨著電腦的普及，惡意的攻擊程式也逐漸增多，俗話說得好，有需求就有市場，最早的作業系統其實是沒有防火牆的，只是前些年，病毒氾濫，後來作業系統開發者，才考慮加入防火牆機制的。

部署防火牆需謹慎 更新很重要

防火牆作為企業安全的重要保障已經被各企業廣泛認同，幾乎每時每刻都會有企業將部署防火牆提上網路安全議程。那麼，是不是部署了防火牆之後就可以毫無後顧之憂了呢？本篇文章將講述部署防火牆過程中的六大誤區。

誤區之一：部署了防火牆並不等於絕對安全

防火牆對於企業網路的保護作用是每位企業網管所共知的，可是，企業網路部署了防火牆，並不意味著企業網路就不再有安全威脅。舉個最簡單的例子，防火牆的功能僅僅能夠對來自外部網路的資料進行過濾，如果有人在企業網路內部搞破壞，防火牆是沒有任何防範作用的。

另外，防火牆對來自外部資料的過濾檢查是按照過濾規則進行的。如果一種網路攻擊模式不在防火牆過濾規則之內，防火牆對於這種網路攻擊也是沒有任何防範能力的。為此，企業網管不要認為網路中部署了防火牆，企業網路就絕對安全，不再有任何安全隱患，部署了防火牆並不等於絕對安全。

誤區之二：長期不更新防火牆安全策略

防火牆可以阻擋來自外界的網路攻擊，以及過濾一些網路病毒，這都得益於防火牆裝置的安全策略。如同防毒軟體一樣，憑藉防火牆自帶預設的安全策略，防火牆裝置能夠阻擋已知的網路攻擊模式，以及一部分網路病毒；對於新的網路攻擊模式，以及新的網路病毒，防火牆是沒有任何防範能力的。要想讓防火牆能夠具備非常強大的防範能力，企業網管必須定期的更新防火牆的安全策略。

在網路安全漏洞呈爆炸式增長的今天，如果長期不更新防火牆的安全策略，防火牆無疑會成為一個擺設。每當遇到新的網路安全漏洞，企業網管必須及時的更新防火牆的安全策略，只有這樣，防火牆才能真正成為企業網路的安全保護神。

誤區之三：安裝防火牆裝置的所有元件

眾所周知，部署防火牆這款網路安全裝置時，很多企業網管為了保障企業網路的安全，通常會將防火牆所有的功能元件都安裝到防火牆裝置中。從表面看，安裝了所有元件的防火牆，安全更有保障。可是，安裝了一些多餘的防火牆元件之後，反而會降低防火牆的安全效能。

從技術角度來講，防火牆的工作過程與普通PC相似。對於一臺普通的PC來說，如果安裝了過多的功能元件，其系統響應速度會變慢，尤其是PC開機時如果啟動了太多的專案，PC可能會因為不堪重負而宕機。防火牆亦是如此，防火牆中的元件都是隨防火牆啟動而啟動的，如果網管部署防火牆時安裝了所有元件，勢必會耗費防火牆太多的資源，在網路資料交換繁忙時，防火牆裝置可能會因為系統資源不足而當機。一旦防火牆當機，防火牆將失去了作用，企業網路也將失去防火牆的保護，其後果不難想象。為此，部署防火牆時，不要安裝防火牆裝置的所有元件。

誤區之四：把防火牆當成防病毒的武器

從理論上說，防火牆當然可以防病毒，但防火牆只能防範透過網路傳播的一部分病毒。道理很簡單，防火牆是位於網路通路上的一道關卡，對於一切經過它的資料包，它都可以過濾出禁止傳輸的資料。可是，大多數病毒在傳播過程中是非常隱蔽的，防火牆的過濾規則很難有效的防範病毒入侵，看一下病毒傳播的過程就明白了。

病毒在隱蔽在網路應用層中的，在透過防火牆時，病毒被分為若干個資料包。不可否認，防火牆雖然可以過濾一些資料包，但分割為多個數據包的病毒，防火牆是很難識別的，除非防火牆能夠將若干個資料包重新拼裝起來進行檢查，否則防火牆是不可能發現病毒的。防火牆對資料包的過濾，僅僅是決定轉發還是放棄，為此，防火牆的過濾規則很難防範透過網路傳播的病毒。

不過，對於一些特徵非常明顯的病毒，防火牆是可以過濾的。例如震盪波病毒，在傳播過程中是佔用TCP的某些埠，這時，只要企業網管將防火牆的埠封閉，震盪波病毒將無法進入企業網路中。在實際應用中，能夠像震盪波這樣有如此明顯特徵的病毒很少。總的來說，防火牆對於病毒有一定的防範能力，但防範能力是非常有限的，為此，不要把防火牆當成防病毒的有效武器。

誤區之五：忽略防火牆日誌檔案的作用

與任何一款網路裝置一樣，防火牆工作過程中也會自動生成日誌。在企業網路的日常維護中，很多企業網管認識防火牆日誌的存在，更沒有意識到防火牆工作日誌的重要性。對於防火牆的日誌，企業網管存在著諸多誤區。

由於防火牆每天在過濾數百萬甚至上千萬的報文資料包，其生成的日誌也是數量眾多。面對密密麻麻的日誌檔案，企業網管該從何處入手呢？其實，對於正常過濾的資料包記錄，企業網管是無需理會的。諸如丟棄、告警、日誌等動作，企業網管需要慎重的進行稽核，並且進行分析，以確定是否有非法的網路攻擊存在，切莫忽視防火牆日誌檔案的作用。

誤區之六：過濾規則中有太多拒絕規則

對於防火牆的過濾規則，每位企業網管都非常熟悉。防火牆工作過程中，對於允許的資料包直接放行，而對於拒絕的規則，將直接拋棄。毫無疑問，如果防火牆的過濾規則中有太多的拒絕規則，將會浪費防火牆的系統資源，因為防火牆需要不斷的拒絕不符合規則的資料包，並且禁止其透過。為此，在配置防火牆的過濾規則時，要少用拒絕規則。

總結：防火牆有保護企業網路安全的功能，可是，防火牆並不是萬能的，也會有漏洞。加之防火牆是一個機器，其保護功能需要人的設定才能提高。也就是說，要想讓防火牆的保護功能更加完善，部署防火牆時必須躲開上述誤區。

伺服器硬體防火牆 選擇有方法

硬體防火牆對於企業伺服器安全來說可謂是必不可少的裝置，配置硬體防火牆可以使企業所面臨的安全威脅得到一定成都的遏制。那麼本篇文章就來分析一下企業伺服器硬體防火牆的主要內容。

伺服器硬體防火牆的簡單介紹

伺服器的硬防是指硬體防火牆，硬體防火牆是指把防火牆程式做到晶片裡面，由硬體執行這些功能，能減少CPU的負擔，使路由更穩定。 硬體防火牆是保障內部網路安全的一道重要屏障。它的安全和穩定，直接關係到整個內部網路的安全。因此，日常例行的檢查對於保證硬體防火牆的安全是非常重要的。

系統中存在的很多隱患和故障在暴發前都會出現這樣或那樣的苗頭，例行檢查的任務就是要發現這些安全隱患，並儘可能將問題定位，方便問題的解決。

硬體防火牆的例行檢查主要內容

1.硬體防火牆的配置檔案

不論我們在安裝硬體防火牆的時候考慮得有多麼的全面和嚴密，一旦硬體防火牆投入到實際使用環境中，情況卻隨時都在發生改變。硬體防火牆的規則總會不斷地變化和調整著，配置引數也會時常有所改變。作為網路安全管理人員，最好能夠編寫一套修改防火牆配置和規則的安全策略，並嚴格實施。所涉及的硬體防火牆配置，最好能詳細到類似哪些流量被允許，哪些服務要用到代理這樣的細節。

在安全策略中，要寫明修改硬體防火牆配置的步驟，如哪些授權需要修改、誰能進行這樣的修改、什麼時候才能進行修改、如何記錄這些修改等。安全策略還應該寫明責任的劃分，如某人具體做修改，另一人負責記錄，第三個人來檢查和測試修改後的設定是否正確。詳盡的安全策略應該保證硬體防火牆配置的修改工作程式化，並能儘量避免因修改配置所造成的錯誤和安全漏洞。

2.硬體防火牆的磁碟使用情況

如果在硬體防火牆上保留日誌記錄，那麼檢查硬體防火牆的磁碟使用情況是一件很重要的事情。如果不保留日誌記錄，那麼檢查硬體防火牆的磁碟使用情況就變得更加重要了。保留日誌記錄的情況下，磁碟佔用量的異常增長很可能表明日誌清除過程存在問題，這種情況相對來說還好處理一些。在不保留日誌的情況下，如果磁碟佔用量異常增長，則說明硬體防火牆有可能是被人安裝了Rootkit工具，已經被人攻破。

因此，網路安全管理人員首先需要了解在正常情況下，防火牆的磁碟佔用情況，並以此為依據，設定一個檢查基線。硬體防火牆的磁碟佔用量一旦超過這個基線，就意味著系統遇到了安全或其他方面的問題，需要進一步的檢查。

3.硬體防火牆的CPU負載

和磁碟使用情況類似，CPU負載也是判斷硬體防火牆系統執行是否正常的一個重要指標。作為安全管理人員，必須瞭解硬體防火牆系統CPU負載的正常值是多少，過低的負載值不一定表示一切正常，但出現過高的負載值則說明防火牆系統肯定出現問題了。過高的CPU負載很可能是硬體防火牆遭到DoS攻擊或外部網路連線斷開等問題造成的。

4.硬體防火牆系統的精靈程式

每臺防火牆在正常執行的情況下，都有一組精靈程式（Daemon），比如名字服務程式、系統日誌程式、網路分發程式或認證程式等。在例行檢查中必須檢查這些程式是不是都在執行，如果發現某些精靈程式沒有執行，則需要進一步檢查是什麼原因導致這些精靈程式不執行，還有哪些精靈程式還在執行中。

5.系統檔案

關鍵的系統檔案的改變不外乎三種情況：管理人員有目的、有計劃地進行的修改，比如計劃中的系統升級所造成的修改；管理人員偶爾對系統檔案進行的修改；攻擊者對檔案的修改。

經常性地檢查系統檔案，並查對系統檔案修改記錄，可及時發現防火牆所遭到的攻擊。此外，還應該強調一下，最好在硬體防火牆配置策略的修改中，包含對系統檔案修改的記錄。

6.異常日誌

硬體防火牆日誌記錄了所有允許或拒絕的通訊的資訊，是主要的硬體防火牆執行狀況的資訊來源。由於該日誌的資料量龐大，所以，檢查異常日誌通常應該是一個自動進行的過程。當然，什麼樣的事件是異常事件，得由管理員來確定，只有管理員定義了異常事件並進行記錄，硬體防火牆才會保留相應的日誌備查。

上述6個方面的例行檢查也許並不能立刻檢查到硬體防火牆可能遇到的所有問題和隱患，但持之以恆地檢查對硬體防火牆穩定可靠地執行是非常重要的。如果有必要，管理員還可以用資料包掃描程式來確認硬體防火牆配置的正確與否，甚至可以更進一步地採用漏洞掃描程式來進行模擬攻擊，以考核硬體防火牆的能力。

伺服器租用與高硬防伺服器

伺服器租用：是指使用者無須自己購買伺服器，只需根據自己業務的需要，提出對硬體配置的要求。主機伺服器由IDC服務商配置。使用者採取租用的方式，安裝相應的系統軟體及應用軟體以實現使用者獨享專用高效能伺服器，實現WEB+FTP+MAIL+VDNS全部網路服務功能，使用者的初期投資減輕了，可以更專著於自己業務的研發。

高硬防伺服器：是指一些專門提供高硬防的機房，10G以上的硬防都為高硬防，因為1G硬防的投資10萬元左右，10G的話就是100萬。日前市場上最多的都是單線機房有硬防，雙線機房大多都是沒有硬防的。

伺服器的硬防通常跟伺服器租賃聯絡在一起，目前IDC伺服器租賃商紛紛把贈送高硬防的服務作為一個賣點，希望消費者更加信賴自己的伺服器產品，相信在未來，伺服器硬防會做的更強更好，可以有效的保護伺服器系統的安全，為網路環境創造一個更加安靜健康的局面。